Vulnerabilite yo te jwenn nan pifò kliyan Matris

Dènyèman nouvèl la te libere ke frajilite yo te idantifye (CVE-2021-40823, CVE-2021-40824) nan pifò aplikasyon pou kliyan yo pou platfòm kominikasyon desantralize a Matris, ki pèmèt jwenn enfòmasyon sou kle yo itilize yo transfere mesaj nan fen-a-fen cha chiffres (E2EE).

Yon atakè ki te konpwomèt youn nan itilizatè yo soti nan chat la ka dechifre mesaj ki te deja voye yo itilizatè sa a soti nan aplikasyon pou kliyan vilnerab. Operasyon siksè mande pou aksè nan kont moun k ap resevwa mesaj la ak aksè ka jwenn tou de nan yon koule nan paramèt kont ak pa ranje andedan sèvè a Matris nan ki itilizatè a konekte.

Li mansyone ke frajilite yo pi danjere pou itilizatè yo nan chanm chat chiffres nan ki atakè-kontwole serveurs Matris yo ki konekte. Administratè nan serveurs sa yo ka eseye imite itilizatè yo nan sèvè a pou entèsepte mesaj voye nan chat soti nan aplikasyon pou kliyan vilnerab.

Vulnerabilite yo ki te koze pa erè ki lojik nan aplikasyon yo nan mekanis nan bay re-aksè a kle pwopozisyon nan kliyan yo diferan detekte. Aplikasyon ki baze sou matris-ios-sdk, matris-nio, ak bibliyotèk libolm yo pa vilnerab a frajilite yo.

Kontinwe, frajilite parèt nan tout aplikasyon ki prete kòd la pwoblèm y yo pa afekte dirèkteman pwotokòl Matris ak Olm / Megolm.

Espesyalman, pwoblèm nan afekte nwayo Eleman Matris la (ansyen Riot) kliyan pou entènèt la, Desktop, ak android, osi byen ke aplikasyon pou kliyan twazyèm-pati ak bibliyotèk, tankou FluffyChat, Nheko, Cinny, ak SchildiChat. Pwoblèm nan pa parèt nan kliyan ofisyèl iOS la, ni nan aplikasyon pou Chatty, Idwojèn, mautrix, koulè wouj violèt-matris ak sifon.

Vèsyon yo patched nan kliyan ki afekte yo yo disponib kounye a; kidonk li mande pou li mete ajou pi vit ke posib epi nou eskize nou pou deranjman an. Si ou pa kapab ajou, konsidere kenbe kliyan vilnerab offline jiskaske ou kapab. Si kliyan vilnerab yo offline, yo pa ka twonpe yo nan revele kle yo. Yo ka an sekirite tounen sou entènèt yon fwa yo mete ajou.

Malerezman, li difisil oswa enposib pou idantifye retroaktivman ka atak sa a ak nivo boutèy demi lit estanda prezan sou tou de kliyan ak serveurs. Sepandan, depi atak la mande pou konpwomèt kont lan, administratè sèvè kay yo ka vle revize mòso bwa otantifikasyon yo pou nenpòt ki siy aksè apwopriye.

Mekanis echanj kle a, nan aplikasyon ki frajilite yo te jwenn, pèmèt yon kliyan ki pa gen kle yo dechifre yon mesaj pou mande kle soti nan aparèy moun k la oswa lòt aparèy.

Pou egzanp, kapasite sa a nesesè asire dekriptaj la nan mesaj fin vye granmoun sou aparèy nouvo itilizatè a oswa nan evènman an ke itilizatè a pèdi kle ki deja egziste. Espesifikasyon pwotokòl la preskri pa default pa reponn a demann kle ak otomatikman voye yo sèlman nan aparèy verifye nan itilizatè a menm. Malerezman, nan aplikasyon pratik, kondisyon sa a pa te satisfè ak demann yo voye kle yo te trete san yo pa idantifikasyon aparèy apwopriye.

Yo te idantifye frajilite yo pandan yon kontwòl kontab kliyan Eleman an. Ranje yo disponib kounye a pou tout kliyan ki boulvèse yo. Itilizatè yo avize w ijan enstale dènye enfòmasyon yo ak dekonekte kliyan yo anvan yo enstale aktyalizasyon an.

Pa te gen okenn prèv ki eksplwate frajilite a anvan liberasyon an nan revizyon an. Li enposib detèmine reyalite a nan yon atak lè l sèvi avèk kliyan an estanda ak sèvè mòso bwa, men depi atak la mande pou konpwomèt kont lan, administratè ka analize prezans nan koneksyon sispèk lè l sèvi avèk mòso bwa yo otantifikasyon sou serveurs yo, ak Itilizatè yo ka evalye lis la. nan aparèy lye nan kont yo pou rekoneksyon resan yo ak chanjman estati konfyans.

Fuant: https://matrix.org


Kontni an nan atik la respekte prensip nou yo nan etik editoryal. Pou rapòte yon erè klike sou isit la.

Se pou premye a fè kòmantè

Kite kòmantè ou

Adrès imèl ou pa pral dwe pibliye. Jaden obligatwa yo make ak *

*

*

  1. Responsab pou done yo: Miguel Ángel Gatón
  2. Objektif done yo: Kontwòl SPAM, jesyon kòmantè.
  3. Lejitimasyon: konsantman ou
  4. Kominikasyon nan done yo: done yo pa pral kominike bay twazyèm pati eksepte pa obligasyon legal.
  5. Done depo: baz done anime pa rezo Occentus (Inyon Ewopeyen)
  6. Dwa: Nenpòt ki lè ou ka limite, refè ak efase enfòmasyon ou yo.